A medida que los sistemas de pago digitales se hacen más populares, también lo hacen las amenazas contra ellos. Si tu organización acepta, procesa, almacena o transmite datos de tarjetas de crédito en cualquier forma, debe seguir una serie de normas de seguridad conocidas como PCI (acrónimo de Payment Card Industry).
En esta completa guía, analizamos qué implica el cumplimiento de la normativa PCI, por qué es importante (especialmente para los MSP con clientes en el sector financiero), cómo cumplirla y qué ocurre si no se siguen las normas.
En este artículo, abordaremos los siguientes puntos:
- ¿Qué es el cumplimiento de la normativa PCI?
- PCI DSS v.4.0: Novedades y qué versión deberías seguir
- ¿Quién debe cumplir la normativa PCI?
- ¿Por qué es importante el cumplimiento de la normativa PCI?
- Los 7 principios básicos de PCI DSS
- Qué es la certificación de conformidad PCI
- ¿Cómo cumplir la normativa PCI?
- Requisitos de conformidad PCI
- Checklist del cumplimiento de la normativa PCI
- ¿Qué ocurre si no cumples la norma PCI DSS?
- Ventajas del cumplimiento de la normativa PCI
- Retos del cumplimiento de la normativa PCI
- Preguntas más frecuentes (FAQ)
¿Qué es el cumplimiento de la normativa PCI?
El cumplimiento de la normativa PCI se refiere a la adhesión al Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS), un conjunto de normas de seguridad diseñadas para proteger la información sensible de las tarjetas de pago durante las transacciones. Estas normas fueron establecidas por el Consejo de Estándares de Seguridad de la industria de tarjetas de pago (PCI SSC), fundado por las principales empresas de tarjetas de crédito, como Visa, MasterCard, American Express, Discover y JCB International, para garantizar el tratamiento seguro de los datos de los titulares de tarjetas.
Establecido en 2006, PCI DSS, o simplemente PCI, ayuda a mantener la seguridad de las cuentas a lo largo de todo el proceso de transacción, aumenta el control en torno a los datos de los titulares de tarjetas para reducir el fraude con tarjetas de crédito y mejorar la gestión del cumplimiento.
PCI DSS v.4.0: novedades y qué versión deberías seguir
PCI DSS 4.0, publicada en marzo de 2022, es la última versión de la norma. Representa una evolución significativa con respecto a PCI DSS 3.2.1, ya que introduce un enfoque más flexible y personalizado para cumplir y mantener la conformidad. Por tanto, pone un mayor énfasis en la seguridad continua y aborda mejor las amenazas modernas.
Puedes consultar todos los cambios en la biblioteca oficial de documentos PCI, pero algunos de los cambios clave son los siguientes:
- Validación personalizada: las organizaciones pueden implantar controles alternativos para cumplir los objetivos de seguridad siempre que puedan justificar su eficacia.
- Requisitos de autenticación ampliados: requisitos más estrictos para la autenticación multifactor (MFA) en los puntos de acceso administrativos y remotos.
- Mejora del cifrado y la gestión de claves: controles más estrictos sobre cómo se cifran, almacenan y transmiten los datos sensibles.
- Mayor frecuencia de las pruebas: fomenta la realización de pruebas más frecuentes y la validación de la seguridad en tiempo real.
⚠️ PCI DSS 3.2.1 se retiró oficialmente en marzo de 2024. Ahora las organizaciones deben cumplir la versión 4.0.
¿Quién debe cumplir la normativa PCI?
El cumplimiento de la normativa PCI se asocia a menudo con marcas de retail o empresas de e-commerce, pero su alcance es mucho más amplio.
El cumplimiento de la normativa PCI afecta a:
- Comerciantes: incluida cualquier empresa u organización que acepte pagos con tarjeta, ya sea en línea, en tiendas, por teléfono o a través de aplicaciones móviles. Incluso los pequeños comercios con un bajo volumen de transacciones deben cumplir los requisitos de PCI DSS para garantizar la seguridad de los datos de los titulares de tarjetas de clientes.
- Proveedores de servicios: las empresas que almacenan, procesan o transmiten datos de titulares de tarjetas en nombre de terceros, como procesadores de pagos, centros de datos o proveedores de alojamiento, se consideran proveedores de servicios y deben cumplir las normas PCI.
- Proveedores de servicios gestionados (MSP): los MSP que gestionan la infraestructura informática de clientes que manejan datos de titulares de tarjetas también están sujetos a los requisitos de PCI DSS. Aunque no procesen directamente los pagos con tarjeta, a menudo tienen acceso a sistemas y redes que sí lo hacen, lo que hace que el cumplimiento de la normativa sea fundamental.
- Profesionales de TI: cualquier persona encargada de configurar o gestionar redes, endpoints o servidores en un entorno de pago debe asegurarse de que sus sistemas cumplen los requisitos de la PCI, desde los firewalls hasta los protocolos de cifrado.
- Proveedores y desarrolladores de software: si desarrollas sistemas de punto de venta (TPV), plataformas de comercio electrónico o aplicaciones relacionadas con los pagos, debes asegurarte de que tu software cumple los requisitos de PCI DSS. Una vulnerabilidad podría poner en peligro a miles de empresas.
- Procesadores de pagos de terceros: aunque muchas empresas subcontratan la gestión de pagos a servicios de terceros, como Stripe, Square o PayPal, estos mismos proveedores deben mantener el cumplimiento de la PCI. Además, los comerciantes que utilizan estos servicios siguen siendo corresponsables de la protección de datos.
⚠️ Cabe señalar que PCI DSS es una norma de seguridad internacional, lo que significa que no se limita a un país o región en particular, sino que se aplica en todo el mundo.
¿Por qué es importante el cumplimiento de la normativa PCI?
Mucho se ha hablado de que los datos son la nueva moneda en esta la digital. Pero, ¿qué ocurre con los datos sobre la moneda? La importancia del cumplimiento de la normativa PCI va mucho más allá de cumplir ciertos requisitos. Ayuda a las organizaciones a:
- Proteger los datos de pago confidenciales frente a filtraciones y robos.
- Generar confianza entre clientes y socios demostrando compromiso con la protección de datos.
- Evitar multas y sanciones que pueden ser devastadoras económicamente.
- Evitar las consecuencias legales y el daño a la reputación derivado de las filtraciones de datos.
- Mejorar la postura de seguridad alineándose con las mejores prácticas ampliamente aceptadas.
Con el aumento exponencial de las transacciones digitales, garantizar la seguridad de los datos sensibles de los titulares de tarjetas es primordial. Cumplir la normativa PCI evita las filtraciones de datos, reduce el riesgo de pérdidas económicas y refuerza la confianza de los clientes. Es más probable que los clientes hagan negocios con organizaciones que dan prioridad a la seguridad de los datos.
Además, el cumplimiento de la norma PCI DSS es obligatorio para cualquier organización que maneje datos de titulares de tarjetas. Una de las normas de la PCI es PA-DSS, que garantiza que los proveedores que desarrollan aplicaciones de pago para terceros no almacenen información sensible sobre tarjetas de crédito. El incumplimiento puede acarrear fuertes multas y sanciones y la posible pérdida de la capacidad de procesar pagos con tarjeta. Por tanto, el cumplimiento de la normativa PCI es crucial para mantener la reputación de una organización, su estabilidad financiera y sus relaciones con los clientes.
Los 7 principios básicos de PCI DSS
PCI DSS se basa en un conjunto de principios fundamentales que respaldan el desarrollo de un entorno seguro para los datos de los titulares de tarjetas. Hemos enumerado siete de ellos.
1. Construir y mantener una red segura
Los routers y las configuraciones de firewalls forman la primera línea de defensa contra los ciberdelincuentes. Este principio hace hincapié en impedir el acceso no autorizado a los entornos de datos de los titulares de tarjetas protegiendo los puntos de entrada a la red y la infraestructura.
2. Proteger los datos de los titulares de tarjetas
Los datos de los titulares de tarjetas deben cifrarse tanto en tránsito como en reposo. La protección de estos datos garantiza que, aunque sean interceptados o accedan a ellos personas no autorizadas, no puedan utilizarse de forma malintencionada.
3. Mantener un programa de gestión de vulnerabilidades
Las actualizaciones periódicas del software antivirus, los sistemas operativos y las aplicaciones ayudan a defenderse de las amenazas conocidas. Un enfoque estructurado de la gestión de vulnerabilidades minimiza el riesgo de explotación debido a sistemas obsoletos o sin parches. También puedes considerar una herramienta de gestión y mitigación de vulnerabilidades como NinjaOne que te ayude a identificar y resolver rápidamente los problemas de parches en los endpoints.
4. Implementar medidas de control de acceso estrictas
Solo el personal autorizado debe poder acceder a los datos de los titulares de tarjetas. Los controles de acceso deben basarse en el principio de mínimo privilegio, con mecanismos como los permisos basados en funciones para limitar el acceso.
5. Supervisar y probar regularmente las redes
Las redes de supervisión y pruebas continuas ayudan a detectar posibles infracciones en una fase temprana. Los registros, las exploraciones de vulnerabilidades y las pruebas de penetración proporcionan visibilidad y ayudan a las organizaciones a verificar que los controles de seguridad funcionan según lo previsto. Para profundizar en este tema, te recomendamos la lectura de la guía Pruebas de penetración vs. análisis de vulnerabilidades.
6. Mantener una política de seguridad de la información
Una política documentada para toda la organización marca la pauta de una cultura de la seguridad. Este principio exige que las organizaciones formalicen y comuniquen sus prácticas, funciones, responsabilidades y expectativas en materia de seguridad.
7. Fomentar la concienciación y la responsabilidad en materia de seguridad
La seguridad no es solo una cuestión técnica: requiere una vigilancia constante. La formación del personal, la asignación de responsabilidades y el establecimiento de una cadena de rendición de cuentas garantizan que el cumplimiento de la normativa PCI sea una responsabilidad compartida por toda la organización. Para deseas ampliar la información, te recomendamos consultar la guía Cómo crear una estrategia de ciberseguridad moderna para los departamentos de TI.
¿Qué es la certificación de conformidad PCI?
La certificación de conformidad PCI es una validación proporcionada por un auditor externo de que tu empresa cumple la norma PCI DSS. El proceso de certificación implica una evaluación de la red y los sistemas de tu empresa, las políticas, los procedimientos y otras áreas pertinentes. Una vez completada esta evaluación, tu empresa recibe un certificado de conformidad.
Requisitos de conformidad PCI
PCI DSS comprende 12 requisitos para gestionar la información de las tarjetas de pago de los clientes que pueden organizarse en seis objetivos de control:
1) Construir y mantener una red y unos sistemas seguros:
1.1. Instala y mantén una configuración de firewall para proteger los datos de los titulares de tarjetas.
1.2. No utilices los valores predeterminados proporcionados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad.
2) Proteger los datos del titular de la tarjeta:
2.1. Protege los datos almacenados de los titulares de tarjetas.
2.2. Cifra la transmisión de datos de los titulares de tarjetas a través de redes públicas abiertas.
3) Mantener un programa de gestión de vulnerabilidades:
3.1. Protege todos los sistemas contra programas maliciosos y actualiza periódicamente el software o los programas antivirus.
3.2. Desarrolla y mantén sistemas y aplicaciones seguros.
4) Implementar medidas de control de acceso estrictas:
4.1. Restringe el acceso a los datos de los titulares de tarjetas según la necesidad de conocimiento de la empresa.
4.2. Identifica y autentica el acceso a los componentes del sistema.
4.3. Restringe el acceso físico a los datos de los titulares de tarjetas.
5) Supervisar y probar regularmente las redes
5.1. Rastrea y supervisa todos los accesos a los recursos de la red y a los datos de los titulares de tarjetas.
5.2. Prueba periódicamente los sistemas y procesos de seguridad.
6) Mantener una política de seguridad de la información:
6.1. Mantén una política que aborde la seguridad de la información para todo el personal.
Checklist del cumplimiento de la normativa PCI
Hemos creado una checklist para ayudarte a cumplir la normativa PCI. Lo hemos organizado en frases clave, que abarcan todos los requisitos técnicos, administrativos y de procedimiento. Aunque no es exhaustiva, debería servir como punto de partida para tu MSP.
- Alcance y descubrimiento
- Identifica dónde se reciben, procesan, almacenan y transmiten los datos de los titulares de tarjetas
- Documenta todos los sistemas, dispositivos y personal implicados en el tratamiento de los datos de los titulares de tarjetas
- Determinar los requisitos de conformidad
- Identifica tu nivel de comercio PCI DSS en función del volumen de transacciones
- Determina qué Cuestionario de Autoevaluación (SAQ) se aplica a tu organización
- Contrata a un evaluador de seguridad cualificado (QSA) si es necesario
- Programa exploraciones de vulnerabilidades con un proveedor de exploración autorizado (ASV), si procede
- Implementar controles de seguridad
- Instala y mantén firewalls para proteger los datos de los titulares de tarjetas
- Cifra los datos de los titulares de tarjetas durante la transmisión a través de redes abiertas o públicas
- Almacena los datos de los titulares de tarjetas de forma segura y limita la duración del almacenamiento
- Implementa y mantén soluciones antimalware y antivirus
- Mantén todos los sistemas y aplicaciones actualizados con parches
- Restringe el acceso a los datos de los titulares de tarjetas en función de la «necesidad de conocer»
- Control y pruebas
- Rastrea y registra todos los accesos a los recursos de la red y a los datos de los titulares de tarjetas.
- Supervisa diariamente los registros para detectar anomalías o accesos no autorizados
- Realiza pruebas de penetración y análisis de vulnerabilidades de forma periódica
- Prueba los sistemas y procesos de seguridad al menos trimestralmente
- Política y formación
- Crea una política formal de seguridad de la información y revísala anualmente
- Forma a los empleados y contratistas sobre las responsabilidades de PCI DSS y la concienciación en materia de seguridad
- Mantén procedimientos documentados para la respuesta a incidentes. Si quieres profundizar en este tema, hemos creado una checklist de planificación de respuesta al ransomware para MSP.
- Asigna personal para supervisar las responsabilidades de cumplimiento
- Validación e informes
- Cumplimenta y presenta el Cuestionario de Autoevaluación (SAQ) correspondiente
- Conserva la documentación de conformidad y los resultados de los escaneos a efectos de auditoría
- Programa revisiones y reevaluaciones anuales para mantener el cumplimiento
¿Qué ocurre si no cumples la norma PCI DSS?
El incumplimiento de la PCI puede dar lugar a:
- Multas y sanciones: las organizaciones que incumplan la normativa pueden enfrentarse a cuantiosas multas que pueden alcanzar cientos de millones de euros, dependiendo de su tamaño, del número de clientes afectados y de la duración y el grado del incumplimiento.
- Aumento de las comisiones por transacción: los procesadores de pagos pueden imponer comisiones por transacción más elevadas a las empresas que no cumplan la normativa PCI. Estas comisiones son una forma que tienen los bancos de compensar el mayor riesgo de tratar con comerciantes que no cumplen las normas.
- Daño a la reputación: un fallo de seguridad que se haga público puede dañar gravemente la reputación de tu marca y mermar la confianza de los clientes. Es más probable que los clientes prescindan de las empresas que no protegen su información personal y financiera.
Ventajas del cumplimiento de la normativa PCI
Una seguridad mejorada
El cumplimiento de la normativa PCI proporciona una mayor seguridad al establecer normas estrictas que ayudan a las empresas a proteger los datos de sus clientes. Garantiza que las empresas dispongan de las salvaguardias necesarias para evitar la filtración de datos, manteniendo la confidencialidad e integridad de la información sensible.
Confianza del cliente
Una empresa que cumple la normativa PCI demuestra a sus clientes que sus datos se toman en serio y se manejan de forma segura. Esto genera confianza, vital para retener y fidelizar a los clientes, y con el tiempo, puede traducirse en un crecimiento del negocio.
Evitación de sanciones
El incumplimiento de las normas PCI puede acarrear importantes multas y sanciones por parte de los proveedores de tarjetas de pago. Al cumplir con la normativa PCI, las empresas pueden evitar estos problemas financieros, garantizando operaciones ininterrumpidas y estabilidad financiera.
Ventaja competitiva
En un mercado competitivo, el cumplimiento de la normativa PCI puede suponer una ventaja significativa. Los clientes concienciados con la seguridad de los datos preferirán hacer negocios con una empresa que cumpla la normativa PCI, con lo que podrán atraer a más clientes y aumentar su cuota de mercado.
Cumplimiento de la normativa
El cumplimiento de la normativa PCI garantiza que las empresas se ajusten a las normas establecidas por los organismos gubernamentales y reguladores. Esto puede evitar posibles problemas legales y facilitar las operaciones empresariales, contribuyendo al éxito general de la organización.
Retos del cumplimiento de la normativa PCI
Complejidad
El marco PCI DSS incluye cientos de requisitos técnicos y administrativos. Incluso con la checklist que hemos elaborado y detallado anteriormente, la tarea puede resultar abrumadora. Entender qué requisitos se aplican y cómo aplicarlos correctamente puede requerir una planificación exhaustiva.
Limitación de recursos
Las empresas más pequeñas pueden carecer de los recursos financieros y de personal necesarios para dedicarse al cumplimiento de la normativa PCI. Para seguir cumpliendo la normativa, es posible que tengas que contratar a varios consultores e invertir en herramientas de seguridad, lo que puede resultar costoso.
Entornos cambiantes
Los entornos informáticos rara vez son estáticos, por lo que no podemos esperar que las normas de cumplimiento sí lo sean. Las migraciones a la nube, las nuevas aplicaciones y las arquitecturas cambiantes pueden ampliar y modificar el alcance de la PCI. Los cambios exigen una supervisión y reevaluación continuas para garantizar que no se infrinja accidentalmente la normativa.
Riesgos para terceros
Muchas organizaciones confían en vendedores y proveedores de servicios para gestionar partes de su entorno de datos de titulares de tarjetas. Es fundamental que te asegures de que tu proveedor también cumple la normativa PCI para reducir el riesgo de infracciones. Existe la idea errónea de que la externalización del procesamiento de pagos transfiere por completo las responsabilidades de la PCI al proveedor. En realidad, los comerciantes siguen siendo responsables de garantizar que los datos de los titulares de tarjetas estén protegidos en todo su entorno.
Preguntas frecuentes (FAQ)
- ¿La ley exige el cumplimiento de la normativa PCI?
No, la PCI DSS no es una ley, pero las principales marcas de tarjetas de crédito la exigen y los bancos adquirentes y procesadores de pagos la hacen cumplir. El incumplimiento puede acarrear importantes sanciones financieras y operativas.
- ¿Con qué frecuencia debo validar el cumplimiento de la normativa PCI?
Los requisitos de validación dependen de tu nivel de comerciante. Los niveles superiores deben realizar análisis trimestrales de la red por parte de un ASV y una auditoría anual.
- ¿Si utilizo un procesador externo cumplo la normativa PCI?
No. Aunque utilizar un procesador externo que cumpla la normativa PCI puede reducir tu puntuación PCI, no elimina la responsabilidad personal de tu empresa. Aun así, debes asegurarte de que tus sistemas y prácticas cumplen los requisitos PCI DSS aplicables.
- ¿Necesitan las pequeñas empresas cumplir la norma PCI DSS?
Sí. Todas las empresas que aceptan pagos con tarjeta de crédito, independientemente de su tamaño o volumen, deben cumplir la norma PCI DSS.
- ¿Cuál es la diferencia entre PCI DSS 3.2.1 y PCI DSS 4.0?
PCI DSS 4.0 introduce un enfoque más flexible y basado en el riesgo que permite a las organizaciones utilizar estrategias de seguridad personalizadas para cumplir sus objetivos PCI.
El valor del cumplimiento de la normativa PCI
El cumplimiento de la normativa PCI es crucial para gestionar cualquier empresa que realice transacciones con tarjetas de crédito, ya que garantiza el tratamiento seguro de la información sensible, protege contra posibles pérdidas financieras y aumenta la confianza de los clientes. Aunque cumplir la normativa pueda parecer difícil, los beneficios compensan con creces el esfuerzo. Las empresas deben considerar que el cumplimiento de la normativa PCI no es una carga, sino un componente esencial de su estrategia empresarial global.